2016 黑客必备的Android应用都有哪些
AndroRAT
AndroRAT一词源自Android与RAT(即远程管理工具)。这款顶级黑客工具已经拥有相当长的发展历史,而且最初其实是一款客户端/服务器应用。这款应用旨在帮助用户以远程方式控制Android系统,同时从其中提取信息。这款Android应用会在系统启动完成后以服务形式开始运行。因此,如果用户并不需要与该服务进行交互。此应用还允许大家通过呼叫或者短信等方式触发服务器连接。
这款极具实用性的Android黑客应用之功能包括收集联系人、通话记录、消息以及所在位置等信息。此应用还允许大家以远程方式对接收到的消息以及手机运行状态加以监控,进行手机呼叫与短信发送,通过摄像头拍摄照片以及在默认浏览器当中打开URL等等。
github地址:AndroRAT
Hackode
Hackode是一款Android应用,其基本上属于一整套工具组合,主要面向高阶黑客、IT专家以及渗透测试人员。在这款应用当中,我们可以找到三款模块——Reconnaissance、Scanning以及Security Feed。
通过这款应用,大家可以实现谷歌攻击、SQL注入、MySQL Server、Whois、Scanning、DNS查找、IP、MX记录、DNS Dif、Security RSS Feed以及漏洞利用等功能。这是一款出色的Android黑客应用,非常适合入门者作为起步工具且无需提供任何个人隐私信息。
下载地址:Hackode
zANTI
zANTI是一款来自Zimperium的知名Android黑客套件。此软件套件当中包含多种工具,且广泛适用于各类渗透测试场景。这套移动渗透测试工具包允许安全研究人员轻松对网络环境加以扫描。此工具包还允许IT管理员模拟出一套先进黑客环境,并以此为基础检测多项恶意技术方案。
大家可以将zANTI视为一款能够将Backtrack强大力量引入自己Android设备的应用。只要登录至zANTI,它就会映射整套网络并嗅探其中的cookie以掌握此前曾经访问过的各个网站——这要归功于设备当中的ARP缓存。
应用当中的多种模块包括网络映射、端口发现、嗅探、数据包篡改、DoS以及MITM等等。
下载地址:zANTI
FaceNiff
FaceNiff是一款顶级Android黑客应用,允许大家拦截并嗅探WiFi网络流量。这款工具广泛适用于Android用户窥探他人的Facebook、Twitter以及其它社交媒体网站。这款在黑客群体中广受好评的工具能够从WiFi网络中窃取cookie,并为攻击者提供未经授权的、指向受害者账户的访问通道。
FaceNiff由Bartosz Ponurkiewicz开发完成——这位开发者同时也编写出了桌面黑客工具Firesheep for Firefox。
下载地址:FaceNiff
Droidsheep
Droidsheep是一款相当高效的黑客应用,主要作用是针对Wi-Fi网络执行安全性分析。这款应用能够劫持网络之上的Web会话,而且几乎适用于全部服务及网站。
在启动Droidsheep应用之后,它会利用一套路由机制对全部Wi-Fi网络流量进行监控与拦截,同时从活动会话当中提取概要信息。在这款应用的帮助下,我们将能够嗅探Facebook、领英、Twitter以及其它各类社交媒体账户。
DroidSheep Guard,该应用的另一个版本,能够帮助大家在网络之上检测各类ARP嗅探活动——包括由FaceNiff、Droidsheep以及其它软件实施的功能活动。
下载地址:Droidsheep
DroidBox
DroidBox是一款对Android应用进行动态分析的应用方案。在该应用的帮助下,大家可以获得极为广泛的分析结果,包括APK软件包、网络流量、短信与手机呼叫、通过不同通道获取泄露信息等等。
这款出色的Android黑客应用还使得我们能够对Android应用软件包的行为进行可视化处理。
下载地址:DroidBox
APKInspector
APKInspector应用允许大家执行逆向工程任务。在这款应用的帮助下,我们将获得图形功能与分析能力,从而对监控目标拥有更为深入的理解。这款强大的Android黑客工具能够帮助大家从任意Android应用当中获取源代码,并将DEX代码进行可视化以清除其中的信用与授权部分。
下载地址:APKInspector
Nmap
Nmap最具人气的网络扫描应用同时适用于Android操作系统。Nmap同时适用于未root与经过root之手机。如果大家身为新手Android黑客,那么这款黑客应用绝对不可或缺。
下载地址:Nmap
SSHDroid
SSHDroid是一款面向Android系统开发的SSH服务器实现方案,允许大家将自己的Android设备与PC相对接,同时运行“terminal”与“adb shell”等命令,甚至能够实现文件编辑。当我们与远程设备相连接,它还能够提供额外的安全保护机制。
这款应用提供了共享密钥验证、WiFi自动启动白名单以及扩展通知控制等功能。
下载地址:SSHDroid
*投稿作者:w85040,转载须注明来自FreeBuf黑客与极客(FreeBuf.COM)
为什么说黑客都用LINUX
1、Linux的安全性极高,一般情况下是不用安装安全软件,如:杀毒软件。同时,很多高级黑客工具是以Linux为核心代码写出来的。在编程当面,Linux系统自带高级编程语言,其内核使得它本身就是一种编程语言。另外,高级语言编写出来的程序具有移植性强特点,可以运行于WIN里面。
2、开源,它是一种自由和开放源代码的类UNIX操作系统,任何人都可以自由使用、完全不受任何限制。
3、在Linux社区里内核的开发被认为是真正的编程.由于一批高水平黑客的加入,使Linux发展迅猛,到1993年底94年初,Linux 1.0终于诞生了! Linux 1.0已经是一个功能完备的操作系统,而且内核写得紧凑高效,可以充分发挥硬件的性能,在4M内存的80386机器上也表现得非常好。
4.Linux具有良好的兼容性和可移植性,大约在1.3版本之后,开始向其他硬件平台上移植,包括号称最快的CPU---Digital Alpha(至少目前主频是最高的).所以不要总把Linux与低档硬件平台联系 到一块,Linux发展到今天,这是一个误区,它只是将硬件的性能充分发挥 出来而已,Linux必将从低端应用横扫到高端应用。
5、通过计算机网络加入了Linux的内核开发,Linux倾向于成为一个黑客的系统----直到今天,在Linux社区里内核的开发被认为是真正的编程.由于一批高水平黑客的加入,使Linux发展迅猛,到1993年底94年初,Linux 1.0终于诞生了! Linux 1.0已经是一个功能完备的操作系统,而且内核写得紧凑高效,可以充分发挥硬件的性能,在4M内存的80386机器上也表现得非常。
1、Linux是一套免费使用和自由传播的类Unix操作系统,是一个基于POSIX和UNIX的多用户、多任务、支持多线程和多CPU的操作系统。它能运行主要的UNIX工具软件、应用程序和网络协议。它支持32位和64位硬件。Linux继承了Unix以网络为核心的设计思想,是一个性能稳定的多用户网络操作系统。
2、Linux操作系统诞生于1991 年10 月5 日(这是第一次正式向外公布时间)。Linux存在着许多不同的Linux版本,但它们都使用了Linux内核。Linux可安装在各种计算机硬件设备中,比如手机、平板电脑、路由器、视频游戏控制台、台式计算机、大型机和超级计算机。
3、严格来讲,Linux这个词本身只表示Linux内核,但实际上人们已经习惯了用Linux来形容整个基于Linux内核,并且使用GNU 工程各种工具和数据库的操作系统。
HACK黑客常用哪些工具
AndroRAT
AndroRAT一词源自Android与RAT(即远程管理工具)。这款顶级黑客工具已经拥有相当长的发展历史,而且最初其实是一款客户端/服务器应用。这款应用旨在帮助用户以远程方式控制Android系统,同时从其中提取信息。这款Android应用会在系统启动完成后以服务形式开始运行。因此,如果用户并不需要与该服务进行交互。此应用还允许大家通过呼叫或者短信等方式触发服务器连接。
这款极具实用性的Android黑客应用之功能包括收集联系人、通话记录、消息以及所在位置等信息。此应用还允许大家以远程方式对接收到的消息以及手机运行状态加以监控,进行手机呼叫与短信发送,通过摄像头拍摄照片以及在默认浏览器当中打开URL等等。
Hackode
Hackode是一款Android应用,其基本上属于一整套工具组合,主要面向高阶黑客、IT专家以及渗透测试人员。在这款应用当中,我们可以找到三款模块——Reconnaissance、Scanning以及Security Feed。
通过这款应用,大家可以实现谷歌攻击、SQL注入、MySQL Server、Whois、Scanning、DNS查找、IP、MX记录、DNS Dif、Security RSS Feed以及漏洞利用等功能。这是一款出色的Android黑客应用,非常适合入门者作为起步工具且无需提供任何个人隐私信息。
zANTI
zANTI是一款来自Zimperium的知名Android黑客套件。此软件套件当中包含多种工具,且广泛适用于各类渗透测试场景。这套移动渗透测试工具包允许安全研究人员轻松对网络环境加以扫描。此工具包还允许IT管理员模拟出一套先进黑客环境,并以此为基础检测多项恶意技术方案。
大家可以将zANTI视为一款能够将Backtrack强大力量引入自己Android设备的应用。只要登录至zANTI,它就会映射整套网络并嗅探其中的cookie以掌握此前曾经访问过的各个网站——这要归功于设备当中的ARP缓存。
应用当中的多种模块包括网络映射、端口发现、嗅探、数据包篡改、DoS以及MITM等等。
hacker需要的软件!
网络攻击的几种攻击与防御手法!!!
信息收集型攻击
信息收集型攻击并不对目标本身造成危害,如名所示这类攻击被用来为进一步入侵提供有用的信息。主要包括:扫描技术、体系结构刺探、利用信息服务。
1.扫描技术
(1)地址扫描
概览:运用ping这样的程序探测目标地址,对此作出响应的表示其存在。
防御:在防火墙上过滤掉ICMP应答消息。
(2)端口扫描
概览:通常使用一些软件,向大范围的主机连接一系列的TCP端口,扫描软件报告它成功的建立了连接的主机所开的端口。
防御:许多防火墙能检测到是否被扫描,并自动阻断扫描企图。
(3)反响映射
概览:黑客向主机发送虚假消息,然后根据返回“hostunreachable”这一消息特征判断出哪些主机是存在的。目前由于正常的扫描活动容易被防火墙侦测到,黑客转而使用不会触发防火墙规则的常见消息类型,这些类型包括:RESET消息、SYN-ACK消息、DNS响应包。
防御:NAT和非路由代理服务器能够自动抵御此类攻击,也可以在防火墙上过滤“hostunreachable”ICMP应答。
(4)慢速扫描
概览:由于一般扫描侦测器的实现是通过监视某个时间桢里一台特定主机发起的连接的数目(例如每秒10次)来决定是否在被扫描,这样黑客可以通过使用扫描速度慢一些的扫描软件进行扫描。
防御:通过引诱服务来对慢速扫描进行侦测。
2.体系结构探测
概览:黑客使用具有已知响应类型的数据库的自动工具,对来自目标主机的、对坏数据包传送所作出的响应进行检查。由于每种操作系统都有其独特的响应方法(例NT和Solaris的TCP/IP堆栈具体实现有所不同),通过将此独特的响应与数据库中的已知响应进行对比,黑客经常能够确定出目标主机所运行的操作系统。
防御:去掉或修改各种Banner,包括操作系统和各种应用服务的,阻断用于识别的端口扰乱对方的攻击计划。
利用信息服务
3.DNS域转换
概览:DNS协议不对转换或信息性的更新进行身份认证,这使得该协议被人以一些不同的方式加以利用。如果你维护着一台公共的DNS服务器,黑客只需实施一次域转换操作就能得到你所有主机的名称以及内部IP地址。
防御:在防火墙处过滤掉域转换请求。
4.Finger服务
概览:黑客使用finger命令来刺探一台finger服务器以获取关于该系统的用户的信息。
防御:关闭finger服务并记录尝试连接该服务的对方IP地址,或者在防火墙上进行过滤。
5.LDAP服务
概览:黑客使用LDAP协议窥探网络内部的系统和它们的用户的信息。
防御:对于刺探内部网络的LDAP进行阻断并记录,如果在公共机器上提供LDAP服务,那么应把LDAP服务器放入DMZ。
假消息攻击
用于攻击目标配置不正确的消息,主要包括:DNS高速缓存污染、伪造电子邮件。
1.DNS高速缓存污染
概览:由于DNS服务器与其他名称服务器交换信息的时候并不进行身份验证,这就使得黑客可以将不正确的信息掺进来并把用户引向黑客自己的主机。
防御:在防火墙上过滤入站的DNS更新,外部DNS服务器不应能更改你的内部服务器对内部机器的认识。
2.伪造电子邮件
概览:由于SMTP并不对邮件的发送者的身份进行鉴定,因此黑客可以对你的内部客户伪造电子邮件,声称是来自某个客户认识并相信的人,并附带上可安装的特洛伊木马程序,或者是一个引向恶意网站的连接。
防御:使用PGP等安全工具并安装电子邮件证书。
网络安全中常见的黑客攻击方式?
1、后门程序
由于程序员设计一些功能复杂的程序时,一般采用模块化的程序设计思想,将整个项目分割为多个功能模块,分别进行设计、调试,这时的后门就是一个模块的秘密入口。在程序开发阶段,后门便于测试、更改和增强模块功能。正常情况下,完成设计之后需要去掉各个模块的后门,不过有时由于疏忽或者其他原因(如将其留在程序中,便于日后访问、测试或维护)后门没有去掉,一些别有用心的人会利用穷举搜索法发现并利用这些后门,然后进入系统并发动攻击。
2、信息炸弹
信息炸弹是指使用一些特殊工具软件,短时间内向目标服务器发送大量超出系统负荷的信息,造成目标服务器超负荷、网络堵塞、系统崩溃的攻击手段。比如向未打补丁的 Windows 95系统发送特定组合的 UDP 数据包,会导致目标系统死机或重启;向某型号的路由器发送特定数据包致使路由器死机;向某人的电子邮件发送大量的垃圾邮件将此邮箱“撑爆”等。目前常见的信息炸弹有邮件炸弹、逻辑炸弹等。
3.DOS攻击
分为DOS攻击和DDOS攻击。DOS攻击它是使用超出被攻击目标处理能力的大量数据包消耗系统可用系统、带宽资源,最后致使网络服务瘫痪的一种攻击手段。作为攻击者,首先需要通过常规的黑客手段侵入并控制某个网站,然后在服务器上安装并启动一个可由攻击者发出的特殊指令来控制进程,攻击者把攻击对象的IP地址作为指令下达给进程的时候,这些进程就开始对目标主机发起攻击。这种方式可以集中大量的网络服务器带宽,对某个特定目标实施攻击,因而威力巨大,顷刻之间就可以使被攻击目标带宽资源耗尽,导致服务器瘫痪。比如1999年美国明尼苏达大学遭到的黑客攻击就属于这种方式。DDOS攻击是黑客进入计算条件,一个磁盘操作系统(拒绝服务)或DDoS攻击(分布式拒绝服务)攻击包括努力中断某一网络资源的服务,使其暂时无法使用。
这些攻击通常是为了停止一个互联网连接的主机,然而一些尝试可能的目标一定机以及服务。DDOS没有固定的地方,这些攻击随时都有可能发生;他们的目标行业全世界。分布式拒绝服务攻击大多出现在服务器被大量来自攻击者或僵尸网络通信的要求。
服务器无法控制超文本传输协议要求任何进一步的,最终关闭,使其服务的合法用户的一致好评。这些攻击通常不会引起任何的网站或服务器损坏,但请暂时关闭。
这种方法的应用已经扩大了很多,现在用于更恶意的目的;喜欢掩盖欺诈和威慑安防面板等。
4、网络监听
网络监听是一种监视网络状态、数据流以及网络上传输信息的管理工具,它可以将网络接口设置在监听模式,并且可以截获网上传输的信息,也就是说,当黑客登录网络主机并取得超级用户权限后,若要登录其他主机,使用网络监听可以有效地截获网上的数据,这是黑客使用最多的方法,但是,网络监听只能应用于物理上连接于同一网段的主机,通常被用做获取用户口令。
5.系统漏洞
许多系统都有这样那样的安全漏洞(Bugs),其中某些是操作系统或应用软件本身具有的,如Sendmail漏洞,Windows98中的共享目录密码验证漏洞和IE5漏洞等,这些漏洞在补丁未被开发出来之前一般很难防御黑客的破坏,除非你不上网。还有就是有些程序员设计一些功能复杂的程序时,一般采用模块化的程序设计思想,将整个项目分割为多个功能模块,分别进行设计、调试,这时的后门就是一个模块的秘密入口。在程序开发阶段,后门便于测试、更改和增强模块功能。正常情况下,完成设计之后需要去掉各个模块的后门,不过有时由于疏忽或者其他原因(如将其留在程序中,便于日后访问、测试或维护)后门没有去掉,一些别有用心的人会利用专门的扫描工具发现并利用这些后门,然后进入系统并发动攻击。
6、密码破解当然也是黑客常用的攻击手段之一。
7.诱入法
黑客编写一些看起来“合法”的程序,上传到一些FTP站点或是提供给某些个人主页,诱导用户下载。当一个用户下载软件时,黑客的软件一起下载到用户的机器上。该软件会跟踪用户的电脑操作,它静静地记录着用户输入的每个口令,然后把它们发送给黑客指定的Internet信箱。例如,有人发送给用户电子邮件,声称为“确定我们的用户需要”而进行调查。作为对填写表格的回报,允许用户免费使用多少小时。但是,该程序实际上却是搜集用户的口令,并把它们发送给某个远方的“黑客”
8.病毒攻击
计算机病毒可通过网页、即时通信软件、恶意软件、系统漏洞、U盘、移动硬盘、电子邮件、BBS等传播。
winlogon.exe是什么程序?会被黑客利用吗?
winlogon.exe
进程文件: winlogon or winlogon.exe
进程名称: Microsoft Windows Logon Process
描述:
Windows Logon Process,Windows NT 用户登陆程序,管理用户登录和退出。该进程的正常路径应是 C:\Windows\System32 且是以 SYSTEM 用户运行,若不是以上路径且不以 SYSTEM 用户运行,则可能是 W32.Netsky.D@mm 蠕虫病毒,该病毒通过 EMail 邮件传播,当你打开病毒发送的附件时,即会被感染。该病毒会创建 SMTP 引擎在受害者的计算机上,群发邮件进行传播。手工清除该病毒时先结束病毒进程 winlogon.exe,然后删除 C:\Windows 目录下的 winlogon.exe、winlogon.dll、winlogon_hook.dll 和 winlogonkey.dll 文件,再清除 AOL instant messenger 7.0 服务,位于注册表 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services] 下的 aol7.0 键。
出品者: Microsoft Corp.
属于: Microsoft Windows Operating System
系统进程: 是
后台程序: 是
使用网络: 否
硬件相关: 否
常见错误: 未知N/A
内存使用: 未知N/A
安全等级 (0-5): 0
间谍软件: 否
Adware: 否
病毒: 否
木马: 否
winlogon.exe病毒的查杀方法
这个进程是不是一个传奇世界程序的图标使用51破解版传家宝会生产一个WINLOGON.EXE进程
正常的winlogon系统进程,其用户名为“SYSTEM” 程序名为小写winlogon.exe。
而伪装成该进程的木马程序其用户名为当前系统用户名,且程序名为大写的WINLOGON.exe。
进程查看方式 ctrl+alt+del 然后选择进程。正常情况下有且只有一个winlogon.exe进程,其用户名为“SYSTEM”。如果出现了两个winlogon.exe,且其中一个为大写,用户名为当前系统用户的话,表明可能存在木马。这个木马非常厉害,能破坏掉木马克星,使其不能正常运行。目前我使用其他杀毒软件未能查出。
那个WINDOWS下的WINLOGON.EXE确实是病毒,但是,她不过是这个病毒中的小角色而已,大家打开D盘看看是否有一个pagefile的DOS指向文件和一个autorun.inf文件了,呵呵,当然都是隐藏的,删这几个没用的,因为她关联了很多东西,甚至在安全模式都难搞,只要运行任何程序,或者双击打开D盘,她就会重新被安装了,呵呵,这段时间很多人被盗就是因为这个破解的传家宝了,而且杀毒软件查不出来,有人叫这个病毒为 ”落雪“ 是专门盗传奇传奇世界的木马,至于会不会盗其他帐号如QQ,网银就看她高兴了,呵呵,估计也都是一并录制。不怕毒和要减少损失的最好开启防火墙阻止除了自己信任的几个常用任务出门,其他的全部阻挡,当然大家最好尽快备份,然后关门杀毒包括方新等修改过的51pywg传家宝,和他们破解的其他一切外挂,这次嫌疑最大的是51PYWG,至于其他合作网站估计也逃不了关系,特别是方新网站,已经被证实过多次在网站放木马,虽然他解释是被黑了,但是不能排除其他可能,特别小心那些启动后连接网站的外挂,不排除启动器本身就有毒,反正一句话,这种启动就连接某网站的破解软件最容易放毒,至于什么时候放,怎么方,比如一天放几个小时,都要看他怎么爽,用也尽量用那种完全本地破解验证版的,虽然挂盟现在好像还没发现被放马或者自己放,但是千万小心,,最近传奇世界传奇N多人被盗号,目标直指这些网站,以下是最近特别毒的WINLOGON.EXE盗号病毒清除方法,注意这个假的WINLOGON.EXE是在WINDOWS下,进程里头表现为当前用户或ADMINISTRATOR.另外一个 SYSTEM的winlogon.exe是正常的,那个千万不要乱删,看清楚了,前面一个是大写,后面一个是小写,而且经部分网友证实,此文件连接目的地为河南。解决“落雪”病毒的方法
症状:D盘双击打不开,里面有autorun.inf和pagefile.com文件
做这个病毒的人也太强了,在安全模式用Administrator一样解决不了!经过一个下午的奋战才算勉强解决。我没用什么查杀木马的软件,全是手动一个一个把它揪出来把他删掉的。它所关联的文件如下,绝大多数文件都是显示为系统文件和隐藏的。所以要在文件夹选项里打开显示隐藏文件。
D盘里就两个,搞得你无法双击打开D盘。C盘里盘里的就多了!
D:\autorun.inf
D:\pagefile.com
C:\Program Files\Internet Explorer\iexplore.com
C:\Program Files\Common Files\iexplore.com
C:\WINDOWS\1.com
C:\WINDOWS\iexplore.com
C:\WINDOWS\finder.com
C:\WINDOWS\Exeroud.exe(忘了是不是这个名字了,红色图标有传奇世界图标的)
C:\WINDOWS\Debug\*** Programme.exe(也是上面那个图标,名字忘了-_- 好大好明显非隐藏的)
C:\Windows\system32\command.com 这个不要轻易删,看看是不是和下面几个日期不一样而和其他文件日期一样,如果和其他文件大部分系统文件日期一样就不能删,当然系统文件肯定不是这段时间的。
C:\Windows\system32\msconfig.com
C:\Windows\system32\regedit.com
C:\Windows\system32\dxdiag.com
C:\Windows\system32\rundll32.com
C:\Windows\system32\finder.com
C:\Windows\system32\a.exe
对了,看看这些文件的日期,看看其他地方还有没有相同时间的文件还是.COM结尾的可疑文件,小心不要运行任何程序,要不就又启动了,包括双击磁盘
还有一个头号文件!WINLOGON.EXE!做了这么多工作目的就是要干掉她!!!
C:\Windows\WINLOGON.EXE
这个在进程里可以看得到,有两个,一个是真的,一个是假的。
真的是小写winlogon.exe,(不知你们的是不是),用户名是SYSTEM,
而假的是大写的WINLOGON.EXE,用户名是你自己的用户名。
这个文件在进程里是中止不了的,说是关键进程无法中止,搞得跟真的一样!就连在安全模式下它都会呆在你的进程里!我现在所知道的就这些,要是不放心,就最好看一下其中一个文件的修改日期,然后用“搜索”搜这天修改过的文件,相同时间的肯定会出来一大堆的,连系统还原夹里都有!! 这些文件会自己关联的,要是你删了一部分,不小心运行了一个,或在开始-运行里运行msocnfig,command,regedit这些命令,所有的这些文件全会自己补充回来!
知道了这些文件,首先关闭可以关闭的所有程序,打开程序附件里头的WINDOWS资源管理器,并在上面的工具里头的文件夹选项里头的查看里设置显示所有文件和文件假,取消隐藏受保护操作系统文件,然后打开开始菜单的运行,输入命令 regedit,进注册表,到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
里面,有一个Torjan pragramme,这个明摆着“我是木马”,删!!
然后注销!重新进入系统后,打开“任务管理器”,看看有没rundll32,有的话先中止了,不知这个是真还是假,小心为好。到D盘(注意不要双击进入!否则又会激活这个病毒)右键,选“打开”,把autorun.inf和pagefile.com删掉,
然后再到C盘把上面所列出来的文件都删掉!中途注意不要双击到其中一个文件,否则所有步骤都要重新来过! 然后再注销。
我在奋战过程中,把那些文件删掉后,所有的exe文件全都打不开了,运行cmd也不行。
然后,到C:\Windows\system32 里,把cmd.exe文件复制出来,比如到桌面,改名成cmd.com 嘿嘿我也会用com文件,然后双击这个COM文件
然后行动可以进入到DOS下的命令提示符。
再打入以下的命令:
assoc .exe=exefile (assoc与.exe之间有空格)
ftype exefile="%1" %*
这样exe文件就可以运行了。如果不会打命令,只要打开CMD.COM后复制上面的两行分两次粘贴上去执行就可以了。
但我在弄完这些之后,在开机的进入用户时会有些慢,并会跳出一个警告框,说文件"1"找不到。(应该是Windows下的1.com文件。),最后用上网助手之类的软件全面修复IE设置
最后说一下怎么解决开机跳出找不到文件“1.com”的方法:
在运行程序中运行“regedit”,打开注册表,在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon]中
把"Shell"="Explorer.exe 1"恢复为"Shell"="Explorer.exe"
若是还是无法执行.EXE文件,下面我们就来看看如何恢复被篡改后的.EXE文件修复工作吧。一定是某个软件甚至可能是病毒把扩展名为EXE的文件关联删除或修改了,因此按照前面对话框的提示从控制面板中执行“文件夹选项”命令,选择“文件类型”标签,在“已注册的文件类型”列表中找不到扩展名EXE和它的文件关联。试着按[新建]按钮,在“文件扩展名”后输入“.exe”,按[高级]按钮,系统自动将其文件类型定义为“应用程序”,按[确定]按钮后在“已注册的文件类型”列表中出现了扩展名“EXE”,选择它后按[更改]按钮,系统要求选择要使用的程序,可是到底要选择什么应用程序来打开EXE文件?看来这个方法无效,只好按[取消]按钮返回“文件夹选项”对话框。由于以前我从没听说要为扩展名为“.exe”的文件建立文件关联,所以在“已注册的文件类型”列表中选择“EXE应用程序”,并按[删除]按钮将它删除。由于所有EXE文件都不能执行,所以也无法用注册表编辑器(因为我只能运行Regedit.exe或Regedit32.exe来打开注册表编辑器)来修改注册表,看来只好重新启动计算机了。在出现“正在启动Windows…”时按[F8]键,出现“Windows 2000高级选项菜单”,选其中的“最后一次正确的配置”,进入Windows 2000时仍然报错。只好再次重新启动,这次选“安全模式”,虽然没有报错,但仍不能运行EXE文件。再试试“带命令行提示的安全模式”选项,启动成功后在命令提示符窗口的命令行输入:help| more(“|”是管道符号,在键盘上位于Backspace键左边),在系统显示的信息第一行我看到了如下信息“ASSOC Displays or modifies file extension associations”,大致意思是“ASSOC显示或修改文件扩展名关联”,按任意键继续查看,又看到了如下信息“FTYPE Displays or modifies file types usedin file extension associations.”,大意是“FTYPE显示或修改用在文件扩展名关联中的文件类型”,原来在命令提示符窗口还隐藏着这两个特殊命令,可以用来设置文件扩展名关联。于是,在命令行分别输入“help assoc”和“help ftype”两个命令获取了它们的使用方法接着通过下面的设置,终于解决了EXE文件不能运行的故障。故障解决先在命令行command输入:assoc .exe来显示EXE文件关联,系统显示“没有为扩展名.exe找到文件关联”,难怪EXE文件都不能执行。接着输入:ftype | more来分屏显示系统中所有的文件类型,其中有一行显示为“exefile="%1" %*”,难道只要将EXE文件与“exefile”关联,故障就会解决?于是在命令行输入:assoc .exe=exefile(assoc与.exe之间有一空格),屏幕显示“.exe=exefile”。现在关闭命令提示符窗口,按[Ctrl+Alt+Del]组合键调出“Windows安全”窗口,按[关机]按钮后选择“重新启动”选项,按正常模式启动Windows 2000后,所有的EXE文件都能正常运行了。另外,的利用regedit.com的方法应该是最行之有效的办法。1、修改regedit.exe 为 regedit.com2、HKEY_CLASSES_ROOT\exefile\shell\open\command下的default,键值为"%1" %
清除winlogon.exe病毒 与恢复EXE文件的全过程
我们黑基的帅哥kine,机器不知怎么中了winlogon.exe病毒,搞的就要重装系统的下场了。那么让我们来看看这个winlogon.exe病毒到底是什么东西的呢这么的历害的呢,winlogon.exe病毒这个进程是不是一个传奇世界程序的图标使用51破解版传家宝会生产一个WINLOGON.EXE进程正常的winlogon系统进程,其用户名为“SYSTEM” 程序名为小写winlogon.exe。而伪装成该进程的木马程序其用户名为当前系统用户名,且程序名为大写的WINLOGON.exe。进程查看方式 ctrl+alt+del 然后选择进程。正常情况下有且只有一个winlogon.exe进程,其用户名为“SYSTEM”。如果出现了两个winlogon.exe,且其中一个为大写,用户名为当前系统用户的话,表明可能存在木马。